WindowsOS

ADCS - 信頼されたルートの証明書をPEMファイルとしてエクスポートする

2021年11月22日

ルート証明書 - PEMファイルとは?

PEMファイルは、Base64で符号化されている証明書のことです。
PEMファイルの存在理由は、用途に応じて変わるため断定できませんが鍵として利用したり証明書として利用することが可能です。

PEMは、定義が決まった入れ物だと考えるとしっくりくるかもしれません。

定義が決まっているため、鍵 + 証明書 両者を1つのPEMに包括することも可能となります。

 

ルート証明書 - AD CSでのエクスポートについて

Windows ServerのAD CSからルート証明書を発行する手順を記載します。
ただ、発行された証明書は、拡張子がCERとなります。

上記で記載させて頂いている通り、PEMファイルは定義が決まっている入れ物となります。
拡張子が異なっていても、符号化が同一のものであれば使えることが多々あります。
この点に関しては、各ベンダーに確認してみましょう。

 

ルート証明書 - エクスポート手順

ADCSの構築が完了していることが前提条件となります。
構築が完了していない場合は、以下を参照してみてください。


ADCS - 証明機関の構築 スタンドアロンCA

証明書サービスの構築方法について、インストールから構成までの手順をまとめていますっ参考にして頂けると嬉しいです。 エンタープライズCAとスタンドアロンCAの違いは以下に記載しています。 AD CS [ ...

続きを見る

  1. AD CSサーバーにて[ファイル名を指定して実行]画面を出し、[Certlm.msc]と入力して[OK]をクリックします。
    ※管理者権限が必要になるのでAD CSに管理者アカウントでサインインしてください。
    [ファイル名を指定して実行]画面を出し、[Certlm.msc]と入力して[OK]をクリック

  2. Certlmが立ち上がったことを確認し、画面内左側の[個人]をクリックします。
    次に[証明書]をクリックします。
    [個人]をクリックします。 次に[証明書]をクリック

  3. エクスポートしたい証明書を右クリックします。
    表示されたメニューの[すべてのタスク]をクリックし、[エクスポート...]をクリックします。
    [すべてのタスク]をクリックし、[エクスポート...]をクリック

  4. [証明書のエクスポート ウィザードの開始]画面にて、[次へ]をクリックします。
    [証明書のエクスポート ウィザードの開始]画面にて、[次へ]をクリック

  5. [秘密キーのエクスポート]画面にて、以下選択を行ったうえで[次へ]をクリックします。
    • エクスポートする場合:はい、秘密キーをエクスポートします
    • エクスポートしない場合:いいえ、秘密キーをエクスポートしません
      いいえ、秘密キーをエクスポートしません
  6. [エクスポート ファイルの形式]画面にて、[Base 64 encoded X.509 (.CER)]を選択し
    [次へ]をクリックします。
    [Base 64 encoded X.509 (.CER)]を選択

  7. [エクスポートするファイル]画面にて、証明書ファイルのエクスポート先を指定します。
    その後[次へ]をクリックします。
    証明書ファイルのエクスポート先を指定

  8. [証明書のエクスポート ウィザードの完了]画面が表示されたら[完了]をクリックします。
    [証明書のエクスポート ウィザードの完了]画面が表示されたら[完了]をクリック

  9. [エクスポートするファイル]画面にて指定したディレクトリに
    証明書がエクスポートされているか確認して完了です。
    指定したディレクトリに 証明書がエクスポートされているか確認

 

エクスポートした証明書の使い道

IISで利用する証明書としてインポートして利用することが可能です。

また、別記事でMicrosoft Cloud App Securityの証明書認証について記載をしています。
そちらでは、クライアント証明書を利用したアクセス制御を行っており
発行元を把握するために、エクスポートしたルート証明書をMicrosoft Cloud App Securityにインポートしています。

 

さいごに・・・

証明書のエクスポートはとっても簡単にできますが、複数の証明書を発行しているAD CSの場合は
どのよう証明書をエクスポートすれば良いのかわからなくなることがあります。

証明書を発行するときに、用途をきちんと把握できるようにフレンドリ名を決めておくことをお勧めします。

 

-WindowsOS